Suchen Sie Antworten auf diese Fragen?
Sind in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt?- EU Datenschutzgrundverordnung? Erste Hilfe Maßnahmen?
- Was ist zu tun, wenn die Datenschutzaufsicht schreibt?
- Wie setze ich Google Analytics datenschutzkonform ein?
- Darf ich die eMail-Postfächer meiner Mitarbeiter öffnen?
- Wer hält Schulungen über Datenschutz nach der neuen DS-GVO?
- Ist Privacy Shield eine wirkliche Alternative zur Datenübertragung in die USA?
Dann sind Sie hier genau richtig! Rufen Sie uns an 09123 – 789630
Auftragsverarbeitung nach der DS-GVO – Abgrenzung der Verarbeitungstätigkeiten
EreignisseUnter der neu geschaffenen Rubrik “Fragen & Antworten” nimmt das BayLDA ausführlich Stellung zu verschiedenen Fragestellungen des Datenschutzes. Um die gegebenen Antworten einzuordnen, wird jede Frage/Antwort zusätzlich mit nützlichen Stichworten und Normen versehen.
Das Bayrische Landesamt für Datenschutzaufsicht hat seine Reihe “FAQ zur DS-GVO” um die Beantwortung einer weiteren Praxisfrage ergänzt. Die aktuellste Frage der FAQ-Sammlung beschäftigt sich mit den Art. 4 Nr. 8, 28 DS-GVO. Darin versucht das BayLDA anhand konkreter Fallbeispiele zu zeigen, bei welcher Art von Datenverarbeitung eine Auftragsverarbeitung anzunehmen ist und wann nicht.
Auftragsverarbeitung im datenschutzrechtlichen Sinne liege nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt werde, so das BayLDA. Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund stehe bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmache, stelle keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.
Als Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DS-GVO werden (u.a.) bspw. folgende Verarbeitungen gesehen:
DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist,
Keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DS-GVO (sondern eigene Verantwortlichkeit) sei (u.a.) z. B. regelmäßig:
a) Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen
• Tätigkeiten der Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
• Inkassobüros mit Forderungsübertragung,
• Bankinstitute für den Geldtransfer
b) im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftragsziele auf eine andere Tätigkeit:
• vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten,
• Sachverständige zur Begutachtung eines Kfz-Schadens,
• Personenbeförderung, Krankentransportleistungen
Das BayLDA weist jedoch darauf hin, dass, je nach Sachverhalt, vom Verantwortlichen ggfls. Zweckbindung und Vertraulichkeit zu den dabei berührten personenbezogenen Daten festzulegen sein kann.